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(57) Zusammenfassung: Prozessor mit mehreren RechenwerkenEin Prozessor umfaBt ein erstes Rechenwerk (2), ein zweites Re- 
chenwerk (4) und eine Steuereinrichtung (6) zum Ansteuem der beiden Rechenwerke (2, 4) derart, da8 diese wahlweise in einer 
komplementare Daten verarbeitenden Hochsicherheitsbetriebsart oder in einer unabhangige Daten verarbeitenden Parallelbetriebs- 
art oder in einer gleiche Daten verarbeitenden Sicherheitsbetriebsart arbeiten oder sich in einer Leistungssparbetriebsart befinden, in 
der eines der Rechenwerke (2, 4) abgeschaltet ist. 
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Beschreibung 

Prozessor mit mehreren Rechenwerken 

5 Die vorliegende Erfindung bezieht sich auf einen Prozessor 
mit mehreren Rechenwerken und insbesondere auf einen Prozes- 
sor mit mehreren Rechenwerken, die in einer wahlbaren Be- 
triebsart entsprechend der Dual-Rail-Logik zusammenwirken 
konnen. 

10 

Mikroprozessoren bzw. Controller fur Chipkartenanwendungen 
und andere kryptographische Anwendungen mussen haufig beson- 
deren Sicherheitsbedingungen genugen. Eine der Hauptanforde- 
rungen ist die Sicherheit des Mikroprozessors gegen ein unbe- 

15 rechtigtes Auslesen geheimer Informationen, insbesondere uber 
Seitenkanalangriffe ("side channel attacks") - Seitenkanalan- 
griffe erfolgen beispielsweise durch eine Erfassung der Lei- 
stungsaufnahme eines Prozessors oder tiber eine elektromagne- 
tische oder elektrostatische Erfassung von Signalf liissen, wo- 

20 bei aus den so gewonnenen Informationen Riickschlusse auf in- 
terne Vorgange in dem Prozessor gezogen werden konnen. Neben 
Hochsicherheitsaufgaben mufi ein Chipkartencontroller aber 
auch eine Vielzahl konventioneller Operationen ausfuhren, bei 
denen eine hohe Leistung einen groJJen Vorteil darstellt und 

25 einen wichtigen Marktvorteil ergeben kann. Als Beispiele wa- 
ren hier Anwendungen aus dem Mobilf unkbereich zu nennen, bei 
denen die eigentliche Authentikation nur einen sehr geringen 
Teil der Programmlauf zeit ausmacht. Trotzdem wird fur diesen 
geringen Anteil die voile Sicherheit der Authentikation ver- 

30 langt. Ahnliches gilt auch fur elektronische Geldborsen, so- 
gar fur die Geldkarte, denn auch bei diesen Anwendungen sind 
groJie Teile des Programmablauf s wenig sicherheitskritisch, 
die eigentliche Authentikation ist jedoch eine Hochsicher- 
heitsaufgabe. 

35 

Eine hochsichere Ausfiihrung des Prozessorkerns ist z. B. in 
der sog. Dual-Rail-Logik mit Precharge moglich. Die Ausfuh- 
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rung eines Sicherheitsmikrocontrollers in Dual-Rail-Logik mit 
Precharge ist eine wichtige MaBnahme gegen Seitenkanalangrif- 
fe, die heute eine grofte Bedrohung darstellen. Sie verursacht 
jedoch einen im Vergleich zu einem herkommlichen Prozessor 
5 wirtschaftlich nachteiligen grofieren Flachenbedarf und kann 
durch die Notwendigkeit mehrerer Taktphasen zu Leistungsein- 
bulien des Mikroprozessors fiihren. Dies hat im Vergleich zu 
Standardarchitekturen eine geringere Rechenleistung bzw. ei- 
nen geringen Datendurchsatz sowie einen erhohten Leistungsbe- 
10 darf des Prozessors zur Folge. 

Die Aufgabe der vorliegenden Erfindung besteht darin, einen 
Prozessor mit erhohter Sicherheit zu schaffen, der eine hohe- 
re Rechenleistung bzw. einen kleineren Leistungsbedarf auf- 
15 weist. 

Diese Aufgabe wird durch einen Prozessor gemali Anspruch 1, 2, 
3 Oder 11 gelost. 

20 Ein Prozessor gemaB der vorliegenden Erfindung umfaBt ein er- 
stes Rechenwerk, ein zweites Rechenwerk und eine Steuerein- 
richtung zum Ansteuern der beiden Rechenwerke derart, daft 
diese wahlweise in einer komplementare Daten verarbeitenden 
Hochsicherheitsbetriebsart oder in einer unabhangige Daten 

25 verarbeitenden Parallelbetriebsart arbeiten. Anstatt der Par- 
allelbetriebsart Oder zusatzlich kann als weitere Betriebsart 
eine Leistungssparbetriebsart, in der eines der Rechenwerke 
abgeschaltet ist, oder eine Sicherheit sbetriebsart, in der 
beide Rechenwerke parallel gleiche Daten verarbeiten, vorge- 

30 sehen sein. 

Gemafl einem bevorzugten Ausfiihrungsbeispiel der vorliegenden 
Erfindung umfafit ein Prozessor ferner eine schaltbare Komple- 
mentierungseinrichtung mit einem Ausgang, der mit einem Ein- 
35 gang des zweiten Rechenwerks verbunden ist, zum Empfangen von 
Daten und zum wahlweisen Ausgeben der empfangenen Daten oder 
des Komplements der empfangenen Daten. 
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Ein Prozessor gemafi der vorliegenden Erfindung kann ferner 
ein drittes Rechenwerk und ein viertes Rechenwerk umfassen, 
wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
5 die Steuereinrichtung derart ansteuerbar sind, dali sie wahl- 
weise in einer komplementare Daten verarbeitenden Hochsicher- 
heitsbetriebsart oder in einer unabhangige Daten verarbeiten- 
den Parallelbetriebsart arbeiten. In einer anstelle der Hoch- 
sicherheitsbetriebsart oder zusatzlich zu ihr vorgesehenen 
10 Leistungssparbetriebsart ist das dritte und/oder das vierte 
Rechenwerk abgeschaltet . 

Das erste Rechenwerk und das zweite Rechenwerk sind vorzugs- 
weise derart ausgestaltet, daft sie in der Hochsicherheitsbe- 
15 triebsart zeitsynchron die gleichen Befehle verarbeiten k5n- 
nen. Das erste Rechenwerk und das zweite Rechenwerk sind vor- 
zugsweise raumlich benachbart angeordnet. Der Prozessor kann 
beispielsweise ein Kryptographieprozessor sein. 

20 Ein weiterer Prozessor gemaB der vorliegenden Erfindung um- 
faBt ein erstes Rechenwerk, ein zweites Rechenwerk, eine Da- 
tenquelle, welche mit dem ersten Rechenwerk und dem zweiten 
Rechenwerk derart verbunden ist, dali synchron dem ersten Re- 
chenwerk Daten und dem zweiten Rechenwerk das Komplement der 

25 Daten zugefiihrt werden, und eine Befehlsquelle, welche ein 
Paar von Befehlen aufweist, wobei einer der Befehle des Be- 
fehlspaares fur das erste Rechenwerk vorgesehen ist und wobei 
der andere Befehl des Bef ehlspaares fur das zweite Rechenwerk 
vorgesehen ist, und wobei die Befehlsquelle mit dem ersten 

30 Rechenwerk und dem zweiten Rechenwerk derart verbunden ist, 
daB synchron der fur das erste Rechenwerk vorgesehene Befehl 
des Befehlspaares dem ersten Rechenwerk und der fur das zwei- 
te Rechenwerk vorgesehene Befehl des Befehlspaares dem zwei- 
ten Rechenwerk zugefiihrt werden konnen. 

35 

Der fur das erste Rechenwerk vorgesehene Befehl und der fur 
das zweite Rechenwerk vorgesehene Befehl konnen gleich sein, 
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wenn der Prozessor in einer Dual-Rail-Betriebsart oder einer 
Sicherheitsbetriebsart arbeiten soil, sie k5nnen voneinander 
verschieden sein, wenn der Prozessor in einer Hochleistungs- 
betriebsart arbeiten soil, und einer der beiden Befehle kann 
5 das Rechenwerk, fur das er vorgesehen ist, stillegen, wenn 
der Prozessor in einer Leistungssparbetriebsart arbeiten 
soil. 

Eine weitere Aufgabe der vorliegenden Erfindung besteht dar- 
10 in, eine Chipkarte mit erhohter Sicherheit und einer verbes- 
serten Rechenleistung und/oder einem verringerten Leistungs- 
bedarf zu schaffen. 

Diese Aufgabe wird durch eine Chipkarte gemSB Anspruch 13 ge- 
15 lost. 

Eine Chipkarte gemali der vorliegenden Erfindung umfafit einen 
der oben beschriebenen Prozessoren. 

20 Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daft 
eine Dual-Rail-Logik durch eine Anordnung mehrerer Prozessor- 
teilmodule realisiert werden kann, die in verschiedenen Be- 
triebsarten betrieben werden kdnnen. Vorteilhaft enthalt ein 
solcher Mikroprozessor zwei oder eine andere gerade Anzahl 

25 von CPU-Teilmodulen, die zumindest paarweise identisch aufge- 
baut sind. Bei zwei CPU-Teilen kann zwischen vier verschiede- 
nen Betriebszustanden gewahlt und im Betrieb umgeschaltet 
werden: 

30 1. Hochsicherheitsbetriebsart: Einer der beiden CPU-Teile 
bzw. eines der beiden Rechenwerke arbeitet wie ein her- 
kommlicher Standardprozessor . Der zweite Teil jedoch 
wird mit den komplementaren Daten versorgt und bearbei- 
tet diese zeitsynchron mit exakt den gleichen Befehlen 

35 und der gleichen Ansteuerung, wobei die Rechenwerke im 

Precharge-Betrieb arbeiten. Damit wirken die beiden Pro- 
zessorteile zusammen wie ein einziger Prozessor mit Du- 
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al-Rail-Logik, sie befinden sich in der Hochsicherheits- 
betriebsart. Vorteilhaft sind die komplementar rechnen- 
den Elemente raumlich nebeneinander angeordnet und vor- 
zugsweise sind sie ferner verwoben angeordnet, wodurch 
eine solche Anordnung auch gegen elektromagnetische Ab- 
strahlungsanalysen gesichert werden kann. Im Sinne die- 
ser Anmeldung ist ein Prozessor mit komplementar rech- 
nende Rechenwerke ein Prozessor mit einer von verarbei- 
teten Daten unabhangigen Stromauf nahme . 

Hochleistungsbetriebsart : Fiir Programme oder Programm- 
teile, bei denen eine starke Sicherung gegen Seitenka- 
nalangriffe nicht erforderlich ist, ist die Hochlei- 
stungsbetriebsart vorgesehen. In dieser Betriebsart wer- 
den die CPU-Teile bzw. Rechenwerke mit parallel abzuar- 
beitenden bzw. unterschiedlichen Programmteilen ver- 
sorgt. So entsteht eine Anordnung von zwei CPUs bzw. 
Prozessoren, wodurch sich der Datendurchsatz verdoppeln 
kann. 

Leistungssparbetriebsart: In der Leistungssparbetriebs- 
art wird eines oder mehrere Rechenwerke deaktiviert, so 
dafi nur noch ein Rechenwerk oder ein Teil der Rechenwer- 
ke arbeitet. Durch die kleinere Anzahl von schaltenden 
Gattern ist die Leistungsauf nahme reduziert. Der Prozes- 
sor arbeitet in dieser Betriebsart weder im Bereich der 
hochsten Sicherheitsstufe noch im Bereich der hochsten 
Leistung. 

Sicherheitsbetriebsart: Eine Sicherheitsbetriebsart ist 
eine Betriebsart, bei der zwei Rechenwerke die gleichen 
Daten verarbeiten und durch Vergleich der Ergebnisse 
dieser Verarbeitung die Betriebssicherheit erhoht wird, 
was beispielsweise einen Schutz gegen DFA (differential 
fault attack) bietet. 
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Ein Vorteil des erf indungsgemafien Prozessors besteht darin, 
daft er die hohe Sicherheit einer Dual-Rail-Logik fur sicher- 
heitsrelevante Programme bzw. Programmteile und eine hohe Re- 
chenleistung oder einen geringeren Leistungsbedarf fur eine 
5 Verarbeitung weniger sicherheitsrelevanter Programmteile bie- 
tet, wobei zwischen verschiedenen Betriebsarten dynamisch 
auch wahrend des Betriebes geschalten werden kann. 

Wenn in der vorliegenden Anmeldung von zwei Rechenwerken die 
10 Rede ist, konnen jeweils n-2 Rechenwerke zum Einsatz kommen, 
wobei n eine naturliche Zahl ist. 

Ein bevorzugtes Ausfiihrungsbeispiel der vorliegenden Erfin- 
dung wird nachfolgend Bezug nehmend auf die beiliegenden 
15 Zeichnungen naher erlautert. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Ausfiihrungsbei- 
spiels der vorliegenden Erfindung; 

20 Fig. 2 eine schematische Darstellung einer Hochsicher- 

heitsbetriebsart des Ausfuhrungsbeispiels aus Fig. 
1; 



Fig. 3 eine schematische Darstellung einer Hochleistungs- 
betriebsart des Ausfuhrungsbeispiels aus Fig. 1; 

Fig. 4 eine schematische Darstellung einer Leistungsspar- 
betriebsart des Ausfuhrungsbeispiels aus Fig. 1; 
und 

Fig. 5 eine schematische Darstellung einer Sicherheitsbe- 
triebsart des Ausfuhrungsbeispiels aus Fig. 1. 



Fig. 1 ist eine schematische Darstellung des fur die vorlie- 
35 gende Erfindung relevanten Teils eines Prozessors gemaJi einem 
Ausfiihrungsbeispiel der vorliegenden Erfindung. Der Prozessor 
weist ein erstes Rechenwerk 2, ein zweites Rechenwerk 4, eine 
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Steuereinrichtung 6 und eine Komplementierungseinrichtung 8 
auf. Im Fall von zwei parallelen Datenleitungen kann die Kom- 
plementierungseinrichtung 8 durch einen Inverter gebildet 
sein. Die Steuereinrichtung 6 ist mit dem ersten Rechenwerk 2 
uber eine Steuerleitung 12 und mit dem zweiten Rechenwerk 4 
uber eine Steuerleitung 14 wirksam verbunden. Das erste Re- 
chenwerk 2 weist einen Bef ehlseingang 16, der uber eine Lei- 
tung 18 mit einer nicht dargestellten Bef ehlsquelle, bei- 
spielsweise einem Programmspeicher in Form eines ROMs (ROM = 
Read Only Memory = Nur-Lese-Speicher) , eines RAMs (RAM = Ran- 
dom Access Memory = Speicher mit wahlfreiem Zugriff) oder ei- 
ner Festplatte, verbunden ist, sowie einen Dateneingang 20, 
der uber eine Datenleitung 22 mit einer nicht dargestellten 
Datenquelle, beispielsweise einem Datenspeicher oder einer 
Schnittstelle verbunden ist, auf. Das zweite Rechenwerk 4 
weist einen Bef ehlseingang 24, der uber eine Bef ehlsleitung 
26 mit der nicht dargestellten Bef ehlsquelle, mit der das er- 
ste Rechenwerk uber die Bef ehlsleitung 18 verbunden ist, oder 
mit einer anderen Bef ehlsquelle verbunden ist, und einen Da- 
teneingang 28, der uber eine Datenleitung 30 mit einem Aus- 
gang 32 der Komplementierungseinrichtung 8 verbunden ist, 
auf. Die Komplementierungseinrichtung 8 weist ferner einen 
Eingang 34 auf, der uber eine Datenleitung 36 mit der Daten- 
quelle, mit der das erste Rechenwerk 2 uber die Datenleitung 
22 verbunden ist, oder einer anderen Datenquelle verbunden 
ist. Die Steuereinrichtung 6 und die Komplementierungsein- 
richtung 8 sind iiber eine Steuerleitung 38 wirksam verbunden. 

Das erste Rechenwerk 2 bzw. das zweite Rechenwerk 4 verarbei- 
tet gesteuert durch Befehle, die ihm an dem Bef ehlseingang 16 
bzw. 24 zugeleitet werden, Daten, die ihm am Dateneingang 20 
bzw. 28 zugeleitet werden. Die Komplementierungseinrichtung 8 
ist steuerbar bzw. schaltbar, d. h. sie gibt an ihrem Ausgang 
32 wahlweise Daten aus, die sie am Eingang 34 empfangen hat 
(Komplementierungseinrichtung ausgeschaltet) oder deren Kom- 
plement (Komplementierungseinrichtung eingeschaltet) . Diese 
beiden Zustande der Komplementierungseinrichtung 8 werden 
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durch die Steuereinrichtung 6 iiber die Steuerleitung 38 ge- 
steuert bzw. geschaltet. Die Steuereinrichtung 6 steuert fer- 
ner das erste Rechenwerk 2 und das zweite Rechenwerk 4 um 
mehrere verschiedene Betriebsmodi bzw. Betriebsarten einzu- 
5 stellen, die nachfolgend anhand der Fig. 2 bis 4 naher be- 
schrieben werden. 

Fig. 2 ist eine schematische Darstellung einer Hochsicher- 
heitsbetriebsart des Ausfiihrungsbeispiels aus Fig. 1. In die- 

10 ser Betriebsart empfangen das erste Rechenwerk 2 und das 

zweite Rechenwerk 4 an dem Bef ehlseingang 16 bzw. 24 diesel- 
ben Befehle zur Verarbeitung von Daten. Ferner werden dem er- 
sten Rechenwerk 1 am Dateneingang 20 und der Komplementie- 
rungseinrichtung 8 am Eingang 34 dieselben Daten zugeleitet. 

15 Die Komplementierungseinrichtung 8 ist eingeschaltet, d. h. 
sie gibt am Ausgang 32 das Komplement der Daten aus, die sie 
am Eingang 34 empfangt. Das zweite Rechenwerk 4 empfangt so- 
mit an seinem Dateneingang 28 das Komplement der Daten, die 
das erste Rechenwerk 2 an seinem Dateneingang 20 empfangt. In 

20 dieser Hochsicherheitsbetriebsart entspricht die Funktion des 
Prozessors gemafi dem vorliegenden Ausfiihrungsbeispiel somit 
der Dual-Rail-Logik, d. h. die vorzugsweise baugleichen Re- 
chenwerke 2 und 4 verarbeiten gesteuert durch dieselben Be- 
fehle synchron komplementare Daten. In dieser Hochsicher- 

25 heitsbetriebsart ist ein Seitenkanalangrif f iiber eine Messung 
der Leistungsaufnahme des Prozessors stark erschwert oder gar 
unmoglich, da die Leistungsaufnahme des ersten Rechenwerks 
und des zweiten Rechenwerks zusammen aufgrund der Verarbei- 
tung komplementarer Daten nicht von den Daten abhangig ist. 

30 Wenn das erste Rechenwerk 2 und das zweite Rechenwerk 4 in 
raumlicher Nahe zueinander oder ineinander verwoben angeord- 
net werden, wird ferner ein Seitenkanalangrif f iiber eine Ana- 
lyse der elektromagnetischen Abstrahlung des Prozessors we- 
sentlich erschwert, da aufgrund der Verarbeitung komplementa- 

35 rer Daten immer in unmittelbarer Nahe zueinander Strome bzw. 
Spannungen auftreten, welche einem digitalen Wert und seinem 
Komplement entsprechen. 
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Fig. 3 zeigt eine Hochleistungsbetriebsart des ersten Rechen- 
werks 2 und des zweiten Rechenwerks 4. In dieser Betriebsart 
werden dem ersten Rechenwerk 2 und dem zweiten Rechenwerk 4 
5 an ihren Dateneingangen 20 und 28 verschiedene Daten und an 
ihren Bef ehlseingangen 16 und 24 verschiedene Befehle zuge- 
ftthrt. Durch die parallele bzw. gleichzeitige Verarbeitung 
verschiedener oder gleicher Daten mit verschiedenen oder 
gleichen Befehlen bzw. Programmen oder Programmteilen verdop- 

10 pelt sich die Rechenleistung des Prozessors gemali dem vorlie- 
genden Ausf iihrungsbeispiel . Der Prozessor kann somit in der 
gleichen Zeit und mit der gleichen Leistungsaufnahme wie in 
der Hochsicherheitsbetriebsart, gesteuert durch die doppelte 
Anzahl von Befehlen, die doppelte Anzahl von Daten verarbei- 

15 ten. Gleichzeitig bietet diese Betriebsart aber nicht den be- 
sonderen Schutz gegen Seitenkanalangrif f e, den die anhand der 
Fig. 2 erlauterte Hochsicherheitsbetriebsart bietet. Sie bie- 
tet jedoch den Vorteil der Verschleierung der Stromprofile 
sowie der elektromagnetischen Abstrahlung durch parallele 

20 Verarbeitung verschiedener Daten. 

Fig. 4 ist eine schematische Darstellung einer Leistungsspar- 
betriebsart. In dieser Betriebsart ist eines der beiden Re- 
chenwerke, hier das zweite Rechenwerk 4, abgeschaltet bzw. es 

25 wird nicht mit Leistung versorgt. Das andere Rechenwerk, hier 
das erste Rechenwerk 2, empfangt Daten und Befehle, welche es 
verarbeitet. In dieser Betriebsart sind die Leistungsaufnahme 
und die Rechenleistung der beiden Rechenwerke gegenuber der 
anhand Fig. 3 erlauterten Hochleistungsbetriebsart halbiert. 

30 Wie die Hochleistungsbetriebsart bietet auch die Leistungs- 
sparbetriebsart nicht die besondere Sicherheit gegenuber Sei- 
tenkanalangrif fen, welche die anhand der Fig. 2 erlauterte 
Hochsicherheitsbetriebsart bietet . 

35 Fig. 5 ist eine schematische Darstellung einer Sicherheitsbe- 
triebsart des Ausfuhrungsbeispieles aus Fig. 1. In dieser Be- 
triebsart empfangen das erste Rechenwerk 2 und das zweite Re- 
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chenwerk 4 an dem Bef ehlseingang 16 bzw. 24 dieselben Befehle 
zur Verarbeitung von Daten. Ferner werden dem ersten Rechen- 
werk 1 am Dateneingang 20 und der Komplementierungseinrich- 
tung 8 am Eingang 34 dieselben Daten zugeleitet. Die Komple- 
5 mentierungseinrichtung 8 ist ausgeschaltet , d. h. sie gibt am 
Ausgang 32 die Daten aus, die sie am Eingang 34 empfangt. Das 
zweite Rechenwerk 4 empfangt somit an seinem Dateneingang 28 
die gleichen Daten, die das erste Rechenwerk 2 an seinem Da- 
teneingang 20 empfangt. In dieser Sicherheitsbetriebsart ver- 

10 arbeiten das erste Rechenwerk 2 und das zweite Rechenwerk 4 
gesteuert durch dieselben Befehle synchron die gleichen Da- 
ten. Die durch beide Rechenwerke ausgegebenen Ergebnisse wer- 
den einer in Fig. 1 nicht dargestellten Vergleichseinrichtung 
zugefuhrt, welche die Ausgabe des ersten Rechenwerkes 2 und 

15 die Ausgabe des zweiten Rechenwerkes 4 auf Obereinstimmung 

iiberpruft und abhangig davon ein Signal ausgibt, welches ver- 
wendet werden kann, urn beispielsweise eine Wiederholung der 
Verarbeitung der Eingangsdaten, eine Verwendung von Default- 
daten bzw. voreingestellten Daten anstelle der ausgegebenen 

20 Ergebnisse, eine Plausibilitatsiiberpriifung der beiden ausge- 
gebenen Ergebnisse, eine vorubergehende Unterbrechung oder 
einen vollstandigen Abbruch der Datenverarbeitung durch die 
Rechenwerke oder eine andere voreingestellte Reaktion zu 
steuern bzw. auszulosen. Dadurch bietet die Sicherheitsbe- 

25 triebsart einen Schutz gegen einen DFA. 

Entsprechend kann auch bei der oben anhand der Fig. 2 darge- 
stellten Hochsicherheitsbetriebsart eine Oberprufung der 
durch das erste Rechenwerk 2 und das zweite Rechenwerk 4 aus- 
30 gegebenen Ergebnisse auf Komplementaritat durchgefuhrt wer- 
den. 

Die anhand der Fig. 2 bis 5 erlauterten Betriebsarten eignen 
sich fur verschiedene Aufgaben, welche ein Prozessor, bei- 
35 spielsweise ein Prozessor in einer Chipkarte oder ein anderer 
Kryptoprozessor oft abwechselnd oder nacheinander erfullen 
muB. Bei der Abarbeitung von Programmen oder Programmteilen 
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zur Authentication, zur Verschliisselung oder zum Zugriffs- 
schutz ist eine maximale Sicherheit gegenuber Angriffen Unbe- 
fugter, beispielsweise gegenuber Seitenkanalangrif f en, erfor- 
derlich. Der Umfang dieser extrem sicherheitsrelevanten Auf- 
5 gaben ist dabei oft vergleichsweise gering. Sie werden in der 
Hochsicherheitsbetriebsart ausgefiihrt, welche eine maximale 
Sicherheit und eine mittlere Leistung bietet. 

Den groftten Umfang haben bei vielen Anwendungen Operationen 
10 bzw. Aufgaben des Prozessors, die geringere oder gar keine 
Anforderungen an die Sicherheit gegenuber Angriffen stellen, 
deren Abarbeitung in moglichst kurzer Zeit jedoch erwunscht 
ist, beispielsweise urn einem Anwender einen hohen Komfort zu 
bieten und ihm Wartezeiten zu ersparen. Diese Operationen 
15 konnen in der Hochleistungsbetriebsart ausgefiihrt werden, die 
einen geringeren Grad an Sicherheit gegenuber Angriffen, aber 
eine im Vergleich zur Hochsicherheitsbetriebsart verdoppelte 
Rechenleistung bietet. 

20 Ferner ■ treten bei zahlreichen Anwendungen Aufgaben auf, bei 
denen nur eine geringe oder fast verschwindende Rechenlei- 
stung erforderlich ist, weil beispielsweise im Programmablauf 
auf eine Eingabe eines Anwenders oder eine Information, die 
von einer anderen Einrichtung angefordert wurde, gewartet 

25 wird. Diese Aufgaben konnen in der Leistungssparbetriebsart 
ausgefiihrt werden, welche die geringe Rechenleistung der 
Hochsicherheitsbetriebsart mit der geringen Sicherheit der 
Hochleistungsbetriebsart kombiniert, dabei aber den Lei- 
stungsbedarf der Rechenwerke halbiert. 

30 

Ein Vorteil eines Prozessors gemaJS der vorliegenden Erfindung 
besteht darin, daft durch eine Realisierung von zwei oder drei 
der oben beschriebenen Betriebsarten, insbesondere der Hoch- 
sicherheitsbetriebsart zusammen mit der Hochleistungsbe- 
35 triebsart und/oder der Leistungssparbetriebsart, eine flexi- 
ble Anpassung von Sicherheitsstandard, Rechenleistung und 
Leistungsbedarf moglich ist, wobei zwischen den Betriebsarten 
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dynamisch bzw. wahrend des Betriebs umgeschaltet bzw. gewech- 
selt werden kann. So kann beispielsweise in der Hochlei- 
stungsbetriebsart ein Anwender aufgefordert werden, eine PIN 
einzugeben, in der Leistungssparbetriebsart auf eine Eingabe 
5 der PIN gewartet werden und diese anschliefiend in der Hochsi- 
cherheitsbetriebsart kryptographisch verarbeitet werden. 

Zur Realisierung eines Prozessors, der gemaB der vorliegenden 
Erfindung zwei, drei oder vier der anhand der Fig. 2 bis 5 

10 erlauterten Betriebsarten aufweist, ist die in Fig. 1 schema- 
tise]! dargestellte Schaltung aus dem ersten Rechenwerk 2, dem 
zweiten Rechenwerk 4, der Steuereinrichtung 6 und der Komple- 
mentierungseinrichtung 8 nur ein Beispiel. Alternativ zu der 
Darstellung in Fig. 1 kann beispielsweise die Komplementie- 

15 rungseinrichtung 8 ein Bestandteil des zweiten Rechenwerks 4 
und dessen Dateneingang 28 nachgeschaltet sein und/oder es 
kann eine weitere Komplementierungseinrichtung in der Daten- 
leitung 22 des ersten Rechenwerks oder im ersten Rechenwerk 2 
vorgesehen sein. Abhangig von der Architektur bzw. der ver- 

20 wendeten Schaltung der Rechenwerke 2 und 4 kann ferner unter 
Umstanden auf eine Komplementierungseinrichtung verzichtet 
werden, weil beispielsweise zum Komplementieren lediglich 
zwei Leitungen gekreuzt werden mussen. 

25 Die Steuereinrichtung 6 kann das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 durch die Steuerleitungen 12 und 14 an- 
schalten bzw. aktivieren und (in der Leistungssparbetriebs- 
art) ausschalten bzw. stillegen, sie kann dies alternativ 
aber auch uber einen Zugriff auf die Leistungsversorgung der 

30 beiden Rechenwerke tun. 

Eine Zufuhrung derselben Daten uber die Datenleitung 22 an 
den Dateneingang 20 des ersten Rechenwerks 2 und iiber die Da- 
tenleitung 36 an den Eingang 34 der Komplementierungseinrich- 
35 tung 8 ist auf verschiedene Weisen moglich. Beispielsweise 

konnen durch eine in Fig. 1 nicht dargestellte "Datenweiche", 
die mit den Datenleitungen 22 und 36 verbunden ist, Daten von 
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einer Datenquelle synchron zum Dateneingang 20 des ersten Re- 
chenwerks 2 und zum Eingang 34 in der Komplementierungsein- 
richtung 8 geleitet werden. 

5 Alternativ kann eine Datenweiche in die Steuereinrichtung 6 
integriert sein. Dann ist abweichend von der Darstellung in 
Fig. 1 die Steuereinrichtung 6 mit einer Datenquelle verbun- 
den, wobei der Dateneingang 20 des ersten Rechenwerks 2 iiber 
eine Datenleitung mit der Steuereinrichtung 6 verbunden ist, 

10 und wobei der Eingang 34 der Komplementierungseinrichtung 8 
iiber eine Datenleitung mit der Steuereinrichtung 6 verbunden 
ist. Die Steuereinrichtung 6 kann dann je nach der erwunsch- 
ten Betriebsart dieselben Daten synchron zu dem ersten Re- 
chenwerk 2 und iiber die komplementierende oder nicht komple- 

15 mentierende Komplementierungseinrichtung 8 zu dem zweiten Re- 
chenwerk 4 leiten oder verschiedene Daten an das erste Re- 
chenwerk 2 und iiber die nicht-komplementierende Komplementie- 
rungseinrichtung 8 an das zweite Rechenwerk 4 leiten oder nur 
Daten an das erste Rechenwerk 2 leiten. 

20 

Auch beim Leiten von Befehlen fiber die Bef ehlsleitungen 18 
und 26 an den Bef ehlseingang 16 des ersten Rechenwerks 2 bzw. 
den Befehlseingang 24 des zweiten Rechenwerks 4 exis'tieren 
verschiedene Moglichkeiten. Der Befehlseingang 16 des ersten 

25 Rechenwerks 2 und der Befehlseingang 24 des zweiten Rechen- 
werks 4 konnen fiber die Befehlsleitungen 18 bzw. 26 direkt 
mit ein und derselben oder mit zwei verschiedenen Befehls- 
quellen verbunden sein, wie es oben in Zusammenhang mit Fig. 
1 erlautert wurde. Alternativ kann eine Bef ehlsquelle mit der 

30 Steuereinrichtung 6 verbunden sein, welche fiber eine Befehls- 
leitung mit dem Befehlseingang 16 des ersten Rechenwerks und 
fiber eine Befehlsleitung mit dem Befehlseingang 24 des zwei- 
ten Rechenwerks verbunden ist. Die Steuereinrichtung 6 leitet 
dann je nach der erwunschten Betriebsart synchron dieselben 

35 Befehle oder verschiedene Befehle an den Befehlseingang 16 
des ersten Rechenwerks 2 und den Befehlseingang 24 des zwei- 
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ten Rechenwerks 4 oder aber nur an eines der beiden Rechen- 
werke 2 und 4. 

Die Steuereinrichtung 6 zum Ansteuern der beiden Rechenwerke 
5 2 und 4 kann also auf verschiedene Weise ausgefuhrt und mit 
dem ersten Rechenwerk 2, dem zweiten Rechenwerk 4 und der 
Komplementierungseinrichtung 8 wirksam verbunden sein, damit 
in Abhangigkeit von der erwtinschten Betriebsart das erste Re- 
chenwerk 2 und das zweite Rechenwerk 4 synchron dieselben 
10 oder verschiedene Daten und Befehle verarbeiten konnen oder 
damit eines der beiden Rechenwerke 2 und 4 stillgelegt werden 
kann. 

Ferner ist eine Sof tware-Realisierung der oben anhand der 

15 Fig. 2 bis 4 erlauterten Betriebsarten und des Wechsels zwi- 
schen denselben mdglich. In diesem Fall weist der Prozessor 
ein erstes Rechenwerk 2 und ein zweites Rechenwerk 4 auf, und 
die Steuereinrichtung ist durch Befehle realisiert, welche 
durch den Prozessor bzw. die Rechenwerke ausfuhrbar sind. Der 

20 Befehlseingang 16 des ersten Rechenwerks 2 und der Be- 

fehlseingang 24 des zweiten Rechenwerks 4 sind mit einer Be- 
fehlsquelle bzw. einem Programmspeicher, beispielsweise einem 
ROM (ROM = read only memory = Nur-Lese-Speicher) , verbunden. 
Das erste Rechenwerk 2 und das zweite Rechenwerk 4 weisen je- 

25 weils einen oder mehrere Dateneingange 20 bzw. 28 auf, wobei 
alle Datenquellen, welche Daten liefern, die in der Hochsi- 
cherheitsbetriebsart verarbeitet werden sollen, beispielswei- 
se eine Anwenderschnittstelle, iiber die von einem Anwender 
eine PIN eingegeben wird, parallel so mit einem Dateneingang 

30 20 des ersten Rechenwerks und einem Dateneingang 28 des zwei- 
ten Rechenwerks verbunden sind, dafi dem ersten Rechenwerk 2 
die Daten der Datenquelle und synchron dazu dem zweiten Re- 
chenwerk 4 das Komplement der Daten der Datenquelle zugelei- 
tet werden. 

35 

Dies kann, wie es bereits oben anhand des in Fig. 1 darge- 
stellten Ausf uhrungsbeispiels erlautert wurde, beispielsweise 
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durch eine Komplementierungseinrichtung in der Datenleitung 
zwischen der Datenquelle und dem Dateneingang des zweiten Re- 
chenwerks oder aber, je nach der verwendeten Architektur der 
Rechenwerke, auch durch einf aches Kreuzen von Datenleitungen 
5 erfolgen. Die Bef ehlsquelle enthalt Paare von Befehlen, wobei 
jeweils einer der Befehle fur das erste Rechenwerk vorgesehen 
ist und diesem iiber einem Bef ehlseingang 16 zugefuhrt wird, 
und wobei der jeweils andere Befehl des Paars fur das zweite 
Rechenwerk 4 vorgesehen ist, und diesem synchron iiber den Be- 
10 fehlseingang 24 zugefuhrt wird. 

Programmteile, die fur die oben anhand der Fig. 2 erlauterten 
Hochsicherheitsbetriebsart vorgesehen sind, weisen Paare von 
Befehlen auf, welche jeweils zwei identische Befehle umfas- 

15 sen. Programmteile, welche fur eine Verarbeitung in der oben 
anhand der in Fig. 3 erlauterten Hochleistungsbetriebsart 
vorgesehen sind, weisen Befehlspaare auf, welche zwei gleich- 
zeitig von dem ersten Rechenwerk 2 bzw. dem zweiten Rechen- 
werk 4 zu verarbeitende Befehle umfassen. Programmteile, wel- 

20 che fur eine Verarbeitung in der oben anhand der Fig. 4 er- 
lauterten Leistungssparbetriebsart vorgesehen sind, weisen 
Befehlspaare auf, welche fur eines der Rechenwerke 2 und 4 
einen auszufuhrenden Befehl und fur das jeweils andere Re- 
chenwerk einen nicht zu verarbeitenden Befehl oder einen 

25 Deaktivierungs- bzw. Abschaltbef ehl auf weisen. 

Bei Programmteilen, welche in der Hochsicherheitsbetriebsart 
ablaufen, verarbeiten somit das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 gesteuert durch identische Befehle syn- 

30 chron komplementare Daten von der gleichen Datenquelle. Bei 
Programmteilen, welche in der Hochleistungsbetriebsart ablau- 
fen, verarbeiten das erste Rechenwerk 2 und das zweite Re- 
chenwerk 4 gesteuert durch im allgemeinen voneinander ver- 
schiedene Befehle verschiedene Daten von ein und derselben 

35 oder verschiedenen Datenquellen. Bei Programmteilen, welche 

fur eine Bearbeitung in der Leistungssparbetriebsart vorgese- 
hen sind, bearbeitet eines der beiden Rechenwerke gesteuert 
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durch Befehle Daten und das andere Rechenwerk ist stillgelegt 
bzw. abgeschaltet. Im Fall von drei Oder mehr Rechenwerken 
ist eine Kombination der Betriebsmodi moglich. 

5 Die oben dargestellten Ausfiihrungsbeispiele sind ohne weite- 
res auf Prozessoren mit mehr als zwei Rechenwerken, vorzugs- 
weise mit einer geraden Anzahl von paarweise baugleichen Re- 
chenwerken erweiterbar. In diesem Fall konnen alle Paare von 
Rechenwerken in derselben Betriebsart oder aber in verschie- 
10 denen Betriebsarten arbeiten. In der Leistungssparbetriebsart 
konnen alle Rechenwerke bis auf eines abgeschaltet sein. Im 
Fall von drei oder mehr Rechenwerken ist eine Kombination der 
Betriebsarten moglich. 

15 Die vorliegende Erfindung eignet sich fur alle Prozessoren, 
welche far kryptographische Anwendungen oder Sicherheitsan- 
wendungen verwendet werden konnen und vor Seitenkanalangrif- 
fen geschutzt werden sollen, beispielsweise fur Prozessoren 
in Chipkarten. 

20 
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Bezugszeichenliste 

2 erstes Rechenwerk 

4 zweites Rechenwerk 

6 Steuereinrichtung 

8 Invertiereinrichtung 

12 Steuerleitung 

14 Steuerleitung 

16 Befehlseingang 

18 Bef ehlsleitung 

20 Dateneingang 

22 Datenleitung 

24 Befehlseingang 

26 Befehlsleitung 

28 Dateneingang 

30 Datenleitung 

32 Ausgang der Invertiereinrichtung 

34 Eingang der Invertiereinrichtung 

36 Datenleitung 

38 Steuerleitung 
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Patentanspruche 

1. Prozessor mit folgenden Merkmalen: 
5 einem ersten Rechenwerk (2) ; 

einem zweiten Rechenwerk (4); und 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
10 werke (2) und (4) derart, dafi diese wahlweise in einer kom- 
plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
oder in einer unabhangige Daten verarbeitenden Parallelbe- 
triebsart arbeiten. 

15 2. Prozessor mit folgenden Merkmalen: 

einem ersten Rechenwerk (2); 

einem zweiten Rechenwerk (4); und 

20 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
werke (2) und (4) derart, daJJ diese wahlweise in einer kom- 
plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
arbeiten oder sich in einer Leistungssparbetriebsart befin- 
25 den, in der eines der Rechenwerke (2, 4) abgeschaltet ist. 

3. Prozessor mit folgenden Merkmalen: 

einem ersten Rechenwerk (2) ; 

30 

einem zweiten Rechenwerk (4); und 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
werke (2) und (4) derart, dafl diese wahlweise in einer kom- 
35 plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
oder in einer gleiche Daten verarbeitenden Sicherheitsbe- 
triebsart arbeiten. 



WO 03/010638 



19 



PCT/EP02/07298 



4. Prozessor gemaft einem der Anspruche 1 bis3, ferner mit 
einer schaltbaren Komplementierungseinrichtung (8), mit einem 
Ausgang (32), der mit einem Eingang (28) des zweiten Rechen- 

5 werks (4) verbunden ist, zum Empfangen von Daten und zum 
wahlweisen Ausgeben der empfangenen Daten oder des Komple- 
ments der empfangenen Daten. 

5. Prozessor gemafi einem der Ansprilche 1 bis 4, ferner mit 
10 folgenden Merkmalen: 

einem dritten Rechenwerk; und 

einem vierten Rechenwerk; 

15 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
die Steuereinrichtung (6) derart ansteuerbar sind, dafi sie 
wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart oder in einer unabhangige Daten verar- 
20 beitenden Parallelbetriebsart arbeiten. 

6. Prozessor gemali einem der Anspruche 1 bis 4, ferner mit 
folgenden Merkmalen: 

25 einem dritten Rechenwerk; und 

einem vierten Rechenwerk; 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
30 die Steuereinrichtung (6) derart ansteuerbar sind, daii sie 

wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart arbeiten oder sich in einer Leistungs- 
sparbetriebsart befinden, in der das dritte und/oder das 
vierte Rechenwerk abgeschaltet ist. 

35 

7. Prozessor gemaB einem der Anspruche 1 bis 4, ferner mit 
folgenden Merkmalen: 
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einem dritten Rechenwerk; und 
einem vierten Rechenwerk; 

5 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
die Steuereinrichtung (6) derart ansteuerbar sind, dafl sie 
wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart oder in einer gleiche Daten verarbeiten- 
10 den Sicherheitsbetriebsart arbeiten. 

8. Prozessor gemaJl einem der Anspruche 1 bis 7, bei dem das 
erste Rechenwerk (2) und das zweite Rechenwerk (4) derart 
ausgestaltet sind, daii sie in der Hochsicherheitsbetriebsart 

15 zeitsynchron die gleichen Befehle verarbeiten kSnnen. 

9. Prozessor gemali einem der Anspruche 1 bis 8, bei dem das 
erste Rechenwerk (2) und das zweite Rechenwerk (4) raumlich 
benachbart oder ineinander verwoben angeordnet sind. 

20 

10. Prozessor gemafl einem der Anspruche 1 bis 9, bei dem der 
Prozessor ein Kryptographie- oder Sicherheitsprozessor ist. 

11. Prozessor mit folgenden Merkmalen: 

25 

einem ersten Rechenwerk (2); 

einem zweiten Rechenwerk (4); 

30 einer Datenquelle, welche mit dem ersten Rechenwerk (2) und 
dem zweiten Rechenwerk (4) derart verbunden ist, daft synchron 
dem ersten Rechenwerk (2) Daten und dem zweiten Rechenwerk 
(4) das Komplement der Daten zugefuhrt werden; und 

35 einer Bef ehlsquelle, welche ein Paar von Befehlen aufweist, 
wobei einer der Befehle des Befehlspaares fur das erste Re- 
chenwerk (2) vorgesehen ist und wobei der andere Befehl des 



WO 03/010638 



21 



PCT/EP02/07298 



Befehlspaares fur das zweite Rechenwerk (4) vorgesehen ist, 
und die mit dem ersten Rechenwerk (2) und dem zweiten Rechen- 
werk (4) derart verbunden ist, daJi synchron der fur das erste 
Rechenwerk (2) vorgesehene Befehl des Befehlspaares dem er- 
5 sten Rechenwerk (2) und der fiir das zweite Rechenwerk (4) 
vorgesehene Befehl des Befehlspaares dem zweiten Rechenwerk 
(4) zugefiihrt werden konnen. 

12. Prozessor gemaB Anspruch 11, bei dem der fur das erste 
10 Rechenwerk (2) vorgesehene Befehl und der fiir das zweite Re- 
chenwerk (4) vorgesehene Befehl gleich sind. 

13. Chipkarte mit einem Prozessor gemafi einem der Anspriiche 
1 bis 12. 

15 
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